HKCert
保安指南

近距離無綫通訊 (NFC) 保安指南

發布日期: 31 / 10 / 2013
最後更新: 31 / 10 / 2013

近距離無綫通訊 (Near Field Communication)  簡稱 NFC,這個名稱經常出現於智能手機,近年也有很多電子設備支援 NFC 通訊,包括揚聲器和藍牙耳機等。其實NFC技術早在1997年已於香港出現,並應用在付費上,它就是十分流行的八達通了。

 

現時大部分流行的Android手機也內建 NFC 收發器,促使 NFC 的應用在近年急速發展。而早在2011年,利用手機上的電子錢包經 NFC 進行付費及現錢過戶已經在美國十分流行。近年,香港也開始發展NFC付費服務。部分銀行和電訊商合作,推出NFC手機付費服務。新發的信用卡也直接加入 NFC 支援。因此,我們可以看到未來NFC將會被廣泛使用。

NFC被廣泛利用主要是它能夠以無線的方式來快速交換數據及其低電量需求。NFC的傳送距離不多於十公分,可以減少不必要的干擾以避免錯誤讀取NFC晶片及被竊聽的風險。NFC晶片有不同的版本,儲蓄空間可以由96至4,096位元組。晶片有低速、高速及含加密功能–加密功能也分為傳輸上加密和資料內容的加密–供開發者自行選擇應用在自己的產品上。

NFC 晶片是用來記錄所提供的數據,數據可以是 URL,代碼或電話號碼。而手機內建的NFC功能負責收發無線訊號轉換成數據,當手機讀取 NFC 晶片後配合手機上不同的應用程式發揮不同的功能。例如,NFC廣告海報內的 NFC 晶片是提供網址資料,需要配合手機上的瀏覽器來瀏覽產品網頁;電子優惠劵的NFC晶片也是提供網址資料,只是讀取後會下載相關的圖像;也有一些個人使用的 NFC 標籤所記錄的是一連串的代碼,讀取後經手機應用程式才能達到自動功能;電子錢包需要銀行或服務供應商提供的應用程式讀取手機上的 Sim卡經 NFC 發出無線訊號到讀取裝置才能完成交易。

NFC 為我們帶來方便,但也增加了一些安全的風險。以下列出當中的風險及預防方法。

 

 NFC 廣告海報  
 用途

一般提供產品網頁或電子優惠卷,比較常見得到的地方會在港鐵車站內及車廂內。

 風險
  1. 由於這類型的海報張貼在公眾地方,不法分子可張貼一些虛假的優惠海報,引誘市民瀏覽釣魚網站或安裝惡意軟件。
  2. 如廣告海報的NFC標籤沒有設定寫入保護,不法分子可修改標籤內的資料使市民受騙。
 建議
  1. 廣告商應為每一張海報的 NFC 標籤設定寫入保護。
  2. 市民可先利用 NFC 檢查軟件 [注1],確認所載入的指令或內容是否可信任,如有懷疑,就避免執行。

 

  NFC標籤 (Tag)
 用途

它能夠和NFC應用程式合用來執行一些自動的功能,如能夠修改手機上的設定或一些預定的動作。

 風險
  1. 一般的 NFC標籤都是可重寫的,不法分子有機會可以對NFC標籤中的資料進行惡意修改,使 NFC 標籤的使用者受騙。使用者應多加留意 NFC 標籤放置的地點是否能夠給第三者接觸。
 建議
  1. NFC標籤的供應者可加入警告訊息及教學,建議使用者在設定後加入寫入保護。
  2. 請經常檢查 NFC標籤是否給他人更改或加入寫入保護。

 

 NFC 的電子錢包  
 用途

利用手機上的應用程式登記信用卡或預付卡的資料經NFC傳送達到利用手機付款的功能,一般用在小額付款上。

 風險
  1. 誘騙使用者安裝惡意手機應用程式,盜取交易的內容。
  2. 如電子錢包存在漏洞,有心人可能利用漏洞產生不存在的交易。
 建議
  1. 服務供應商應提供詳盡的保安指引及使用指南。
  2. 使用者應按照銀行的保安指引使用。
  3. 不要修改手機系統。[注2]
  4. 不要下載及安裝來歷不明的手機程用程式。
  5. 應保持手機系統及應用程式的更新,以修補保安漏洞。

 

  使用NFC 的預付卡、信用卡或儲分卡
 用途

這些卡生產時已內含NFC晶卡,直接使用在小額付款上。

 風險
  1. 一般市民會將這類型的NFC卡放在手袋或錢包中,有心人可以接近你的手袋或錢包,近距離讀取或修改卡中的資料。
 建議
  1. 服務供應商應使用有加密功能的 NFC 晶片。
  2. 服務供應商應對NFC卡內的數據存取進行訊號加密。
  3. 使用者可將NFC卡存放在有防止訊號洩漏的保護套中。
  4. 使用者不要將NFC卡胡亂存放在公眾地方。

 

以上解釋了 NFC 各式各樣的應用和風險,也針對性地提供建議。而其實有一些基本的手機預防措施是可幫助你減低風險的:

  1. 不需要使用 NFC 的時候,請關閉 NFC功能。
  2. 可從Google Play商店下載 NFC 檢查工具 [注1]。每次通過檢查工具來確定所讀取的資訊。
  3. 保持手機系統及應用程式是最新的版本。
  4. 不要下載及安裝來歷不明的手機程用應式。
  5. 不要修改手機系統。[注2]

只要使用時多加注意,NFC 可以帶給我們既安全又方便的服務體驗。

 

-- 完 --

 

注1:

NFC 檢查軟件如 NFC TagReader,可預先閱讀 NFC Tag 的內容後才選擇是否執行。
 

注2:

不要將客製化系統刷入手機,覆蓋原有官方的系統;不要利用特製的軟件取得根權限,由於手機取得根權限後,黑客及所有安裝在手機上的軟件也可利用根權限繞過手機上的保安限制,使手機容易受到攻擊。大多數的客製化系統會預先取得根權限,及加入不同的進階功能,這些功能可能存在漏洞,而且系統未必有及時的更新。